ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

Transcript

1 ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Καθηγητής Χρήστος Ι. Μπούρας Τμήμα Μηχανικών Η/Υ & Πληροφορικής, Πανεπιστήμιο Πατρών site:

2 Σκοποί ενότητας Εξοικείωση με τα θέματα ασφάλειας δικτύων 2

3 Περιεχόμενα ενότητας Εισαγωγή Κρυπτογράφηση Secure Sockets Layer (SSL) Ασφάλεια ηλεκτρονικού ταχυδρομείου Ασφάλεια σε επίπεδο δικτύου Τείχος προστασίας 3

4

5 Γενικά Αρχικά, τα δίκτυα υπολογιστών χρησιμοποιούνταν κυρίως από τους πανεπιστημιακούς ερευνητές, χωρίς κινδύνους για την ασφάλεια Στη σημερινή εποχή, χρησιμοποιούνται για τραπεζικές συναλλαγές, αγορές, υποβολή φορολογικών δηλώσεων και άλλου είδους προσωπικών στοιχείων Τα περισσότερα προβλήματα προκαλούνται σκόπιμα από κακόβουλα άτομα προκειμένου να ωφεληθούν, να προσελκύσουν την προσοχή, ή να βλάψουν κάποιον Επιπτώσεις είναι ο χαμένος χρόνος και κόπος για ανάνηψη, η απώλεια χρημάτων / αξιοπιστίας, νομικά προβλήματα κ.α. 5

6 Ασφάλεια Πρακτικός ορισμός: «Ένα δίκτυο ή υπολογιστικό σύστημα θεωρείται ασφαλές εάν μπορεί ο διαχειριστής του να εξαρτηθεί στο ότι αυτό και το λογισμικό του θα συμπεριφέρονται σύμφωνα με τις προσδοκίες του» Επιδιώξεις της ασφάλειας Εμπιστευτικότητα Ακεραιότητα Δεδομένων Διαθεσιμότητα Συνέπεια Έλεγχος 6

7 Είδη Επιθέσεων Εισβολή σε ένα δίκτυο (intrusion) Επιθέσεις άρνησης υπηρεσιών (Denial of Service, DoS) Κλέψιμο ευαίσθητων πληροφοριών 7

8 Intrusion Η εισβολή σε ένα δίκτυο (intrusion) είναι ο πιο συνηθισμένος τρόπος επίθεσης Η εισβολή σε συστήματα έχει στόχο οι επιτιθέμενοι να αποκτήσουν τα δικαιώματα των νόμιμων χρηστών Για ασφάλεια από τέτοιες επιθέσεις μπορεί να χρησιμοποιηθούν Firewalls Συστήματα Ανίχνευσης Εισβολής (Intrusion Detection Systems (IDS) Intrusion detection and prevention systems (IDPS) 8

9 Επιθέσεις άρνησης εξυπηρέτησης (Denial-of-service attack) Denial-of-service attacks (DoS) ονομάζονται οι επιθέσεις εναντίον υπολογιστών / υπηρεσιών, που έχουν σκοπό να τους καταστήσουν ανίκανους να δεχτούν άλλες συνδέσεις και να μην μπορούν να εξυπηρετήσουν άλλους πελάτες Υπάρχουν γενικά δύο μορφές αυτής της επίθεσης Επίθεση κατά την οποία η υπηρεσία αναγκάζεται να καταρρεύσει και να πρέπει να επανεκκινηθεί Επίθεση μέσω αποστολής υπερβολικά μεγάλου αριθμού ψεύτικων αιτήσεων με αποτέλεσμα η υπηρεσία να μην μπορεί να εξυπηρετήσει πραγματικές αιτήσεις Οι κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (distributed denial-of-service attack - DDoS) χρησιμοποιούν πολλαπλές επιθέσεις μέσω άλλων θυμάτων ή και θυτών 9

10 Παράδειγμα DDoS επίθεσης Παράδειγμα DDoS επίθεσης 10

11 Κλέψιμο ευαίσθητων πληροφοριών Υπάρχουν επιθέσεις κατά τις οποίες ένας επιτιθέμενος αποκτά πρόσβαση σε ευαίσθητες πληροφορίες εξ αποστάσεως, χωρίς την άμεση επαφή με το μηχάνημα Συνήθως οι επιθέσεις αυτού του είδους εκμεταλλεύονται Internet υπηρεσίες που είναι σχεδιασμένες για χρήση σε ασφαλή τοπικά δίκτυα και όχι κατά μήκος του internet Ένα καλά ρυθμισμένο firewall συνήθως είναι ικανό να αποτρέψει τέτοιες επιθέσεις 11

12 Τεχνικές Επιθέσεων Επίθεση στις ιστοσελίδες Επίθεση στην υπηρεσία ονοματολογίας (DNS) Επίθεση με Δούρειους Ίππους, σκουλήκια, ιούς, ανιχνευτές Επίθεση στο ηλεκτρονικό ταχυδρομείο και στο πρωτόκολλό του (SMTP) Επίθεση από εύρεση των κωδικών πρόσβασης Sniffing Πλαστογράφηση Κ.α. 12

13 Αναλογία εμφάνισης επιθέσεων Είδη επιθέσεων σε υπολογιστές και αναλογία εμφάνισής τους 13

14 Κρυπτογραφία Η κρυπτογραφία είναι η κυριότερη τεχνολογία ασφαλείας Ο όρος 'κρυπτογραφία' αναφέρεται σε ένα σύνολο τεχνικών που χρησιμοποιούνται για να διασφαλίσουν ότι τα δεδομένα δεν μπορούν να διαβαστούν από κάποιον που δεν είναι ο αποστολέας ή κανονικός παραλήπτης τους Περιλαμβάνει την μετατροπή ενός συνόλου δεδομένων σε μια μπερδεμένη και δυσνόητη μορφή 14

15 Πρώτες μέθοδοι κρυπτογράφησης Οι πρώτες μέθοδοι που χρησιμοποιούνταν ήταν: Η αντικατάσταση Ο μετασχηματισμός Στην πρώτη αντικαθιστώνται διακριτά κομμάτια του αρχικού κειμένου με άλλα, π.χ. αλλάζοντας κάθε δυάδα γραμμάτων με κάποια άλλα βάσει ενός κώδικα Στην δεύτερη, γίνονται σύνθετοι μετασχηματισμοί μεταξύ πολλών κομματιών του αρχικού κειμένου Παράδειγμα αντικατάστασης: η συσκευή Enigma που χρησιμοποιήθηκε από τους Γερμανούς κατά τη διάρκεια του Β' Παγκοσμίου Πολέμου 15

16 Μοντέρνα κρυπτογραφία Βασίζεται σε εξαιρετικά πολύπλοκους αλγορίθμους για την μετατροπή ενός κειμένου σε κρυπτογραφημένο, διαδικασία γνωστή ως κρυπτογράφηση Οι αλγόριθμοι αλλάζουν τη λειτουργία τους βάσει ενός κλειδιού, ένα σύνολο χαρακτήρων που αλλάζουν τον τρόπο με τον οποίο γίνεται η μετατροπή του κειμένου Απλό παράδειγμα: Η αντικατάσταση κάθε χαρακτήρα με τον ASCII χαρακτήρα που βρίσκεται n θέσεις μπροστά στον πίνακα των ASCII, με το κλειδί να είναι το n. Αποκρυπτογράφηση: Ο παραλήπτης χρησιμοποιεί τον αλγόριθμο και το κλειδί για να ανακτήσει το αρχικό μήνυμα 16

17 Κρυπτογράφηση και αποκρυπτογράφηση Διαδικασία κρυπτογράφησης και αποκρυπτογράφησης 17

18 Κρυπτογραφία συμμετρικού κλειδιού Ο αποστολέας ενός μηνύματος κρυπτογραφεί το μήνυμα χρησιμοποιώντας έναν αλγόριθμο που βασίζεται σε κλειδί Το κρυπτογραφημένο μήνυμα στέλνεται μέσω του (ανασφαλούς) δικτύου Το κλειδί μεταφέρεται με κάποιο ασφαλή τρόπο στον παραλήπτη Ο παραλήπτης λαμβάνει το κλειδί και αποκρυπτογραφεί το μήνυμα Πλεονέκτημα: πολύ αποδοτική όσον αφορά τους πόρους Μειονέκτημα: το κλειδί πρέπει να μεταφερθεί μέσω ενός ασφαλούς μέσου 18

19 Αλγόριθμοι συμμετρικού κλειδιού Γνωστοί αλγόριθμοι συμμετρικού κλειδιού που ακόμη χρησιμοποιούνται: DES Τριπλό DES Blowfish IDEA RC4 19

20 Τρόποι επίθεσης σε αλγορίθμους συμμετρικού κλειδιού Δοκιμή όλων των δυνατών κλειδιών Επίθεση γνωστού κειμένου Επίθεση επιλεγμένου κειμένου Διαφορική επίθεση κρυπτανάλυσης Διαφορική επίθεση λαθών 20

21 Κρυπτογραφία συμμετρικού κλειδιού Κρυπτογραφία συμμετρικού κλειδιού, όπου το ίδιο κλειδί χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση 21

22 Κρυπτογραφία δημοσίου κλειδιού (1/2) Χρησιμοποιεί δυο κλειδιά: ένα δημόσιο και ένα ιδιωτικό Το δημόσιο διανέμεται και μπορεί να το έχει στην κατοχή του οποιοσδήποτε ενώ το ιδιωτικό όχι Τα κλειδιά δημιουργούνται σε ζευγάρια και με τρόπο ώστε να είναι ανέφικτο να βρεθεί το ένα κλειδί από το άλλο Κείμενο που κρυπτογραφείται με το ένα κλειδί μπορεί να αποκρυπτογραφηθεί μόνο από το άλλο κλειδί του ζευγαριού και αντίστροφα Προτάθηκε ώστε να μην υπάρχει η ανάγκη μετάδοσης του κλειδιού όπως συμβαίνει στην κρυπτογραφία συμμετρικού κλειδιού 22

23 Κρυπτογραφία δημοσίου κλειδιού (2/2) Ο παραλήπτης ενός μηνύματος χρησιμοποιεί τα κλειδιά με τον ακόλουθο τρόπο: Δημοσιοποιεί το δημόσιο κλειδί του π.χ. σε ένα site Ο επίδοξος αποστολέας χρησιμοποιεί το δημόσιο κλειδί για να κάνει την κρυπτογράφηση Το κρυπτογραφημένο κείμενο αποκρυπτογραφείται από τον παραλήπτη χρησιμοποιώντας το ιδιωτικό κλειδί Δεν χρειάζεται ο παραλήπτης να δημοσιοποιήσει το κλειδί 23

24 Τεχνολογίες της κρυπτογραφίας Έξυπνες κάρτες δημοσίου κλειδιού (1/2) Από τους πιο ασφαλείς τρόπους για να διασφαλιστεί η προστασία ενός ιδιωτικού κλειδιού Έχουν μέγεθος πιστωτικής κάρτας και περιέχουν και το ιδιωτικό και το δημόσιο κλειδί Πρέπει να συνδεθούν στον υπολογιστή προκειμένου να εκτελεστεί η κρυπτογράφηση Αυτό σημαίνει ότι όποιος θέλει να αποκτήσει το ιδιωτικό κλειδί πρέπει να κλέψει την κάρτα Ανταλλαγή κλειδιού Diffie-Hellman. Τεχνική για την ανταλλαγή ενός συμμετρικού κλειδιού χρησιμοποιώντας δημόσιο κλειδί 24

25 Τεχνολογίες της κρυπτογραφίας δημοσίου κλειδιού (2/2) RSA: Είναι το πιο γνωστό σύστημα κρυπτογράφησης δημοσίου κλειδιού Χρησιμοποιείται για την αποστολή μέσω μη ασφαλούς γραμμής και για τη δημιουργία ψηφιακών υπογραφών (σειρές χαρακτήρων που πιστοποιούν την ταυτότητα του αποστολέα) ElGamel sytem: Σύστημα δημοσίου κλειδιού που βασίζεται στην τεχνική Diffie-Hellman Digital Signature Standard (DSS). Μπορεί να χρησιμοποιηθεί για ψηφιακές υπογραφές, και αν τροποποιηθεί, και για κανονική μεταφορά δεδομένων 25

26 Παράδειγμα κρυπτογραφίας Κρυπτογραφία (ασυμετρικού) δημόσιου κλειδιού. Ο οποιοσδήποτε μπορεί να κρυπτογραφήσει χρησιμοποιώντας το δημόσιο κλειδί, αλλά μόνο ο κάτοχος του αντίστοιχου ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει (source: iki/file:symmetric_key_encryptio n.svg) δημοσίου κλειδιού 26

27 Ανταλλαγή κλειδιού Diffie-Hellman Ανταλλαγή κλειδιού Diffie- Hellman. Κάθε πλευρά δημιουργεί ένα ζεύγος δημόσιου / ιδιωτικού κλειδιού και διανέμει το δημόσιο κλειδί. Μετά την απόκτηση ενός αυθεντικού αντιγράφου του δημόσιου κλειδιού της άλλης πλευράς, οι δύο πλευρές μπορούν να υπολογίσουν ένα κοινό μυστικό offline (shared secret) (source: /wiki/file:public_key_encryptio n.svg) 27

28 Επιθέσεις σε συστήματα δημοσίου κλειδιού Δυο είδη επιθέσεων υπάρχουν σε συστήματα δημοσίου κλειδιού: Η πρώτη είναι επίθεση με δεδομένα (factoring attack) και βασίζεται στην ανάλυση Η δεύτερη είναι να βρεθεί κάποιο μειονέκτημα στον αλγόριθμο που χρησιμοποιείται 28

29 SSL Το Secure Sockets Layer (SSL) είναι μια από τις πιο δημοφιλείς - ίσως την πιο δημοφιλή - τεχνολογία που βασίζεται στην κρυπτογραφία Αναπτύχθηκε αρχικά από τη Netscape Corporation για τον φυλλομετρητή Netscape Navigator Λειτουργεί σαν ένα επίπεδο που υπάρχει ανάμεσα σε πρωτόκολλα όπως το HTTP και το FTP και υποκείμενα πρωτόκολλα που υπάρχουν στο TCP/IP 29

30 Λειτουργίες που έχουν ενσωματωθεί στο SSL Αυθεντικοποίηση διακομιστή SSL. Επιτρέπει σε ένα πελάτη να πιστοποιήσει την ταυτότητα ενός διακομιστή Με κρυπτογραφία δημοσίου κλειδιού πιστοποιεί την ψηφιακή υπογραφή ενός διακομιστή και βεβαιώνει ότι αυτό εκδόθηκε από έγκυρη αρχή πιστοποίησης Αυθεντικοποίηση πελάτη SSL. Με παρόμοιο τρόπο με τον οποίο πιστοποιούνται οι διακομιστές, πιστοποιούνται και οι πελάτες Κρυπτογραφία SSL. Το SSL χρησιμοποιεί μια ποικιλία τεχνικών συμμετρικής κρυπτογραφίας για να την αποστολή και λήψη δεδομένων 30

31 Υποπρωτόκολλα του SSL SSL record protocol. Χρησιμοποιείται για την μετάδοση μεγάλων όγκων δεδομένων Πρωτόκολλο χειραψίας SSL. Χρησιμοποιείται για να εγκαταστήσει τους κωδικούς και τους αλγορίθμους που θα χρησιμοποιηθούν για τη μεταφορά δεδομένων 31

32 Σχηματική αναπαράσταση χειραψίας Σχηματική αναπαράσταση χειραψίας SSL με αμφίδρομη πιστοποίηση 32

33 Τεχνολογίες που περιλαμβάνονται στο SSL Το πρωτόκολλο SSL υποστηρίζει αρκετούς κώδικες και κρυπτογραφικούς αλγόριθμους Εξαρτώνται από την έκδοση του SSL, την πολιτική ασφαλείας των δυο πλευρών και τους περιορισμούς που θέτει η αμερικάνικη κυβέρνηση Στις τεχνολογίες περιλαμβάνονται οι αλγόριθμοι: DES (Data Encryption Standard) DSA (Digital Signature Algorithm) KEA RSA Κ.α. (MD5, SHA-1, SKIPJACK, Triple DES) 33

34 Η διαδικασία μεταφοράς (1/3) Η διαδικασία μεταφοράς δεδομένων ανάμεσα σε ένα πελάτη, (π.χ. browser), και ένα διακομιστή με τη χρήση SSL περιλαμβάνει τα εξής βήματα: Το πρώτο βήμα περιλαμβάνει τη χρήση του πρωτοκόλλου χειραψίας SSL Ο πελάτης στέλνει στον διακομιστή κάποια δεδομένα όπως την έκδοση του SSL, τις ρυθμίσεις κρυπτογράφησης κ.α. Ο διακομιστής απαντά και στέλνει και το ψηφιακό του πιστοποιητικό 34

35 Η διαδικασία μεταφοράς (2/3) Αν η ανταλλαγή δεδομένων απαιτεί από τον πελάτη να δώσει το δικό του ψηφιακό πιστοποιητικό, τότε συμβαίνει στο σημείο αυτό Ο πελάτης πιστοποιεί τον διακομιστή και αν υπάρχει πρόβλημα ο χρήστης ειδοποιείται Χρησιμοποιώντας τα δεδομένα που προέκυψαν από την χειραψία, ο πελάτης δημιουργεί δεδομένα γνωστά ως premaster secret Ο διακομιστής πιστοποιεί τον πελάτη (Συνήθως δεν χρειάζεται) 35

36 Η διαδικασία μεταφοράς (3/3) Οι δυο πλευρές φτιάχνουν δεδομένα που λέγονται master secret αριθμός 48 bit που δημιουργείται εν μέρει από το premaster secret Από το master secret, ο πελάτης και ο διακομιστής δημιουργούν ένα ζευγάρι κλειδιών Το ένα δημιουργείται για την κρυπτογράφηση και αποκρυπτογράφηση δεδομένων από τον πελάτη στον διακομιστή ενώ το άλλο από τον διακομιστή στον πελάτη 36

37 Η διαδικασία μεταφοράς Χρήση του πρωτοκόλλου χειραψίας SSL 37

38 Τέλος διαδικασίας Η χειραψία είναι πλήρης και οι δυο πλευρές μπορούν να ξεκινήσουν να στέλνουν η μια στην άλλη κρυπτογραφημένα δεδομένα Χρησιμοποιούν έναν από τους αλγορίθμους που υπάρχουν στην έκδοση του SSL που χρησιμοποιείται Αφού έχει ολοκληρωθεί η επικοινωνία καταστρέφεται η σύνδεση 38

39 Επίθεση man-in-the-middle (1/2) Το SSL μπορεί να είναι ευάλωτο σε μια μορφή επίθεσης που αποκαλείται επίθεση man-in-themiddle Σε αυτήν παρεμβάλλεται ένας υπολογιστής ή πρόγραμμα μεταξύ του πελάτη και του διακομιστή Ο ενδιάμεσος υπολογιστής αρχίζει τη διαδικασία της χειραψίας με τον πελάτη και δημιουργεί ένα δικό του master secret και δυο κλειδιά Τα κλειδιά χρησιμοποιούνται για να κρυπτογραφήσουν και να αποκρυπτογραφήσουν πληροφορίες που θα έπρεπε να μεταφέρονται μεταξύ του πελάτη και του πραγματικού διακομιστή 39

40 Επίθεση man-in-the-middle (2/2) Επίθεση man-in-the-middle όπου Α και Β οι νόμιμοι χρήστες και Ε ο επιτιθέμενος 40

41 Συστήματα ασφάλειας ηλεκτρονικού PGP ταχυδρομείου Παρέχει προστασία απορρήτου, πιστοποίηση ταυτότητας, ψηφιακές υπογραφές και συμπίεση Χρησιμοποιεί κρυπτογραφία IDEA και διαχείριση κλειδιών RSA PEM Καλύπτει τους ίδιους τομείς με το PGP αλλά δεν κατάφερε να διαδοθεί S/MIME Παρέχει πιστοποίηση ταυτότητας, ακεραιότητα, μυστικότητα, και μη αποκήρυξη Υποστηρίζει μεγάλη ποικιλία κρυπτογραφικών αλγορίθμων 41

42 Λειτουργία PGP Λειτουργία PGP 42

43 IPsec Η Internet Engineering Task Force (IETF) δημιούργησε το ΙΡ Security Working Group με στόχο να σχεδιάσει μια αρχιτεκτονική ασφαλείας και τα αντίστοιχα πρωτόκολλα Το αποτέλεσμα ονομάζεται ασφάλεια ΙΡ ή IPsec (IP security) Καθώς δεν θέλουν όλοι οι χρήστες κρυπτογράφηση (επειδή είναι υπολογιστικά δαπανηρή), αντί να γίνει προαιρετική η κρυπτογράφηση, αποφασίστηκε να απαιτείται πάντοτε αλλά να επιτρέπεται η χρήση ενός κενού αλγόριθμου 43

44 Υπηρεσίες IPsec (1/2) Οι υπηρεσίες που μπορούν να θεωρηθούν μέρος του IPsec βασίζονται στην κρυπτογραφία συμμετρικού κλειδιού και περιλαμβάνουν: Έλεγχο πρόσβασης Η πρόσβαση σε οποιαδήποτε υπηρεσία ή σύστημα απαιτεί κωδικό. Διάφορα πρωτόκολλα ασφαλείας μπορούν να χρησιμοποιηθούν Ακεραιότητα δεδομένων Είναι δυνατή η πιστοποίηση ακεραιότητας ενός οποιουδήποτε ΙΡ πακέτου Πιστοποίηση του αποστολέα Γίνεται με χρήση των κατάλληλων αλγορίθμων ψηφιακών κλειδιών 44

45 Υπηρεσίες IPsec (2/2) Προστασία εναντίων επιθέσεων τύπου packet replay Παρέχονται μηχανισμοί προστασίας του κόμβου αποστολέα από επιθέσεις όπου ο επιτιθέμενος προσπαθεί να βλάψει την διαθεσιμότητα του συστήματος Κωδικοποίηση των δεδομένων Παρέχονται μηχανισμοί κωδικοποίησης για να εξασφαλιστεί το απόρρητο των δεδομένων Εξασφάλιση του απόρρητου της ροής των δεδομένων Παρέχονται μηχανισμοί προστασίας της ροής των πακέτων 45

46 IPsec πρωτόκολλα Το IPsec χρησιμοποιεί τα ακόλουθα πρωτόκολλα: Authentication Headers (AH): παρέχει ακεραιότητα και πιστοποίηση για IP datagrams και προστασία από replay attacks Encapsulating Security Payloads (ESP): παρέχει εμπιστευτικότητα, πιστοποίηση, ακεραιότητα, υπηρεσία anti-replay Security Associations (SA): περιλαμβάνει το πακέτο των αλγορίθμων και των δεδομένων που παρέχουν τις απαραίτητες παραμέτρους για τις λειτουργίες των AH και ESP 46

47 Δομή Authentication Headers Δομή Authentication Headers (source: 47

48 Δομή Encapsulating Security Payloads Δομή Encapsulating Security Payloads (source: 48

49 Τείχος προστασίας - Firewall Ο όρος firewall εμφανίστηκε στις αρχές του 20ού αιώνα, όταν οι άνθρωποι χρησιμοποιούσαν στα σπίτια τους τούβλα ώστε να τα κάνουν πιο ανθεκτικά στην διάδοση της φωτιάς Πλέον σημαίνει το λογισμικό ή υλικό που παρεμβάλλεται μεταξύ δικτύων υπολογιστών, και επιβλέπει την κυκλοφορία, βασιζόμενο σε ένα σύνολο κανόνων Βασικός στόχος: η ρύθμιση της κυκλοφορίας μεταξύ δικτύων διαφορετικών επιπέδων εμπιστοσύνης Παράδειγμα το Internet, ένα δίκτυο χωρίς εμπιστοσύνη, και ενός εσωτερικού δικτύου, που αποτελεί ζώνη υψηλότερης εμπιστοσύνης 49

50 Firewall Το firewall παρεμβάλλεται μεταξύ δικτύων υπολογιστών 50

51 Οφέλη Ένα firewall μπορεί να μας προσφέρει : Ένα σημείο εφαρμογής των αποφάσεων που αφορούν την ασφάλεια Ένα μέσο για την εφαρμογή της πολιτικής ασφάλειας Ένα τρόπο καταγραφής της δικτυακής κίνησης Ένα φράγμα σε ανεπιθύμητες επιθέσεις 51

52 Αδυναμίες Ένα firewall δεν μπορεί να μας προστατέψει από: Εσωτερικούς χρήστες που σκοπεύουν να επιτεθούν Συνδέσεις που δεν περνούν από αυτό Εντελώς νέους τύπους απειλών-επιθέσεων 100% προστασία από ιούς Λάθη στην διαμόρφωση 52

53 Η ιστορία των firewalls Εμφανίστηκαν στα τέλη της δεκαετίας του 1980, όταν ακόμη το Internet ήταν σε πρώιμα στάδια και είχαν παρατηρηθεί αρκετές "τρύπες" ασφαλείας στο Διαδίκτυο Πρώτη γενιά packet filters Τα packet filter firewalls ενεργούν στα πακέτα που αντιπροσωπεύουν τη βασική πληροφορία, δηλαδή στα πακέτα που μεταφέρουν τα δεδομένα μεταξύ των υπολογιστών Διαβάζουν τα πακέτα δεδομένων και εάν ένα πακέτο ταιριάζει με κάποιο κανόνα το απορρίπτουν Ο διαχειριστής ορίζει τους κανόνες Δεν εξετάζεται εάν ένα πακέτο είναι μέρος ενός ρεύματος κυκλοφορίας δεδομένων 53

54 Ροή δεδομένων στο Packet-filtering Ροή δεδομένων στο Packet-filtering 54

55 Δεύτερη γενιά- Stateful filters Τα firewall της δεύτερης γενιάς δρουν όπως τα firewall πρώτης γενιάς με κάποιες επιπρόσθετες λειτουργίες: Εξετάζουν την κατάσταση (state) του κάθε πακέτου, δηλαδή την σύνδεση από την οποία προήλθε Αποθηκεύουν δομές δεδομένων στη μνήμη με πληροφορίες σχετικά με την κατάσταση της σύνδεσης (πίνακες κατάστασης) Όταν ένα firewall λαμβάνει ένα πακέτο, ελέγχει πρώτα αν ανήκει σε υπάρχουσα κατάσταση στον πίνακα. Εάν ναι, τότε γίνεται αποδεκτό Διαφορετικά, συγκρίνεται με βάση τους κανόνες του firewall για την αποδοχή ή την απόρριψή του 55

56 Τρίτη γενιά - Application layer Η τρίτη γενιά firewall βασίζεται στο επίπεδο εφαρμογών σύμφωνα με το μοντέλο αναφοράς OSI Το κύριο χαρακτηριστικό αυτής της γενιάς firewall είναι ότι μπορεί να αντιλαμβάνεται ποια προγράμματα και πρωτόκολλα προσπαθούν να δημιουργήσουν μία νέα σύνδεση Με τον τρόπο αυτό μπορούν να εντοπιστούν εφαρμογές που προσπαθούν να δημιουργήσουν ανεπιθύμητες συνδέσεις ή καταχρήσεις ενός πρωτοκόλλου ή μίας υπηρεσίας 56

57 Firewalls 4ης γενιάς Διαθέτουν γραφικό περιβάλλον μέσω του οποίου ο χρήστης κάνει τις επιλογές του και θέτει τους κανόνες βάσει τον οποίων θα απορρίπτονται κάποια πακέτα ή συνδέσεις Μπορούν πλέον να ενσωματωθούν στο λειτουργικό σύστημα και συνεργάζονται στενά με άλλα συστήματα ασφαλείας 57

58 Λειτουργίες firewall σε γραφικό περιβάλλον Παράδειγμα λειτουργιών firewall σε γραφικό περιβάλλον 58

59 Proxy Firewalls Ένας άλλος τύπος firewall είναι το proxy firewall όπου κάθε πακέτο σταματά στο firewall Το πακέτο εξετάζεται και συγκρίνεται με τους κανόνες που διαμορφώνονται από το firewall Εάν το πακέτο περάσει τις «εξετάσεις», επαναδημιουργείται και στέλνεται Επειδή κάθε πακέτο καταστρέφεται και επαναδημιουργείται, αποτρέπονται οι άγνωστες επιθέσεις που βασίζονται στις αδυναμίες του πρωτοκόλλου TCP/IP 59

60 Λειτουργικά όρια των firewalls Τα firewalls δεν μπορούν να εμποδίσουν μια σειρά από περιστατικά και ενέργειες, όπως: Την πειρατεία συνόδου, όπου ο επιτιθέμενος παίρνει τον έλεγχο από έναν νόμιμο χρήστη Το network data sniffing (ή snooping) Την επαναδρομολόγηση δικτυακών δεδομένων Τη μεταμφίεση δικτυακών δεδομένων (spoofing) Τη διαρροή πληροφοριών, σε τρίτους, από νόμιμα εξουσιοδοτημένους χρήστες Την αποδοχή «μολυσμένων αρχείων», χωρίς προηγούμενο έλεγχό τους Τις εσωτερικές επιθέσεις 60

61 Σύντομη ανασκόπηση Εισαγωγή Κρυπτογράφηση SSL Ασφάλεια ηλεκτρονικού ταχυδρομείου Ασφάλεια σε επίπεδο δικτύου Τείχος προστασίας 61

62 Βιβλιογραφία Σημειώσεις μαθήματος (Κεφάλαιο 10) Βιβλία: Computer Networks, Andrew S. Tanenbaum, David J. Wetherall Data and Computer Communications, W. Stallings Security Engineering, Anderson Cryptography Engineering: Design Principles and Practical Applications, N. Ferguson, B. Schneier, T. Kohno Network security: private communication in a public world, C. Kaufman, R. Perlman, M. Speciner 62

63 Links Links (Δικτυακός τόπος μαθήματος) security.ppt (Presentation on Network Security) (Presentation on Cryptography algorithms) 458/firewalls.ppt (Presentation on Firewalls) 63

64 Ερωτήσεις 64

65 Τέλος Ενότητας

66 Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στo πλαίσιo του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο Πανεπιστήμιο Αθηνών» έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 66

67 Σημειώματα

68 Σημείωμα Ιστορικού Εκδόσεων Έργου Το παρόν έργο αποτελεί την έκδοση

69 Σημείωμα Αναφοράς Copyright Πανεπιστήμιο Πατρών, Χρήστος Μπούρας «Δίκτυα δημόσιας χρήσης και διασύνδεση δικτύων.». Έκδοση: 1.0. Πάτρα Διαθέσιμο από τη δικτυακή διεύθυνση: 69

70 Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 70